Sintomas de infecção da rede.
1. Se houver computadores infectados na rede, o volume do tráfego de rede aumentará, pois o ataque de rede é iniciado a partir desses computadores.
2. Um produto antivírus com o Sistema de detecção de intrusos ativado informa sobre o ataque Intrusion.Win.NETAPI.buffer-overflow.exploit
Breve descrição da família do Net-Worm.Win32.Kido.
1. Cria arquivos autorun.inf e RECYCLED\{SID<....>}\RANDOM_NAME.vmx em unidades removíveis (às vezes em compartilhamentos de redes públicas)
2. Se armazena no sistema como um arquivo DLL com um nome aleatório, como c:\windows\system32\zorizr.dll
3. Se registra nos serviços do sistema com um nome aleatório, como knqdgsm.
4. Tenta atacar os computadores da rede através das portas 445 ou 139, usando a vulnerabilidade MS08-067 do MS Windows.
5. Tenta se conectar aos sites a seguir (é recomendável configurar o firewall da rede para monitorar as tentativas de conexão a esses sites):
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
Métodos de desinfecção.
Um utilitário específico KK.exe deve ser usado para remover este worm.
Para evitar que todas as estações de trabalho e servidores de arquivos sejam infectados pelo worm, é recomendável executar as seguintes ações:
- Instale o patch da Microsoft que corrige as vulnerabilidades MS08-067, MS08-068, MS09-001
- Certifique-se de que a senha da conta de administrador local não seja óbvia e não possa ser descoberta facilmente; a senha deve conter pelo menos seis caracteres, misturar letras maiúsculas e minúsculas, números e caracteres não-alfanuméricos, como sinais de pontuação.
- Desative a execução automática de arquivos executáveis das unidades removíveis.
O utilitário KK.exe pode ser executado localmente no computador infectado ou remotamente, com o auxílio do Kaspersky Administration Kit.
Para remover o vírus localmente:
1. Baixe o KK.exe em uma pasta do computador infectado.
2. Execute o arquivo KK.exe
Quando a verificação for concluída, talvez seja exibida uma janela ativa do prompt de comando no monitor do computador; para minimizar a janela, pressione qualquer botão. Para que a janela do prompt de comando seja fechada automaticamente, é recomendável executar o utilitário KK.exe com o parâmetro –y.
3. Aguarde até que a verificação seja concluída.
Se o Agnitum Outpost Firewall estiver instalado no computador em que o utilitário KK.exe é executado, será necessário reiniciá-lo quando o trabalho do utilitário for concluído.
4. Execute a verificação completa do computador com o antivírus Kaspersky.
Para remover o vírus através do Administration Kit:
1. Baixe o utilitário KK.exe em uma pasta.
2. No console do Administration Kit, crie o pacote de instalação do aplicativo KK.exe. Nas configurações do pacote de instalação, na etapa Application (Aplicativo), selecione a opção Make installation package for specified executable file (Criar pacote de instalação para o arquivo executável especificado).
No campo Executable file command line (optional) (Linha de comando do arquivo executável (opcional)), defina o parâmetro –y para fechar a janela do console automaticamente quando o trabalho do utilitário for concluído.
3. Crie uma tarefa global ou de grupo para a instalação remota do pacote em computadores específicos e execute a tarefa.
O utilitário KK.exe pode ser executado em todos os computadores da rede.
Execute a tarefa.
4. Quando o trabalho do utilitário for concluído, verifique todos os computadores da rede usando o antivírus Kaspersky.
Se o Agnitum Outpost Firewall estiver instalado no computador em que o utilitário KK.exe é executado, será necessário reiniciá-lo quando o trabalho do utilitário for concluído.
Para obter informações adicionais sobre o utilitário, execute o KK.exe com o parâmetro adicional –help.
Opções para gerenciar o utilitário KK.exe no prompt de comando:
Opção | Descrição |
-p | verificar uma pasta específica |
-f | verificar os discos rígidos |
-n | verificar discos de rede |
-r | verificar as unidades removíveis |
-y | encerrar o programa sem pressionar nenhuma tecla |
-s | modo silencioso (sem uma janela preta) |
-l | gravar informações em um log |
-v | manutenção estendida do log (a opção -v funcionará apenas se a opção -l for inserida no prompt de comando) |
-z | restaurar os serviços
|
-? | restaurar a exibição de arquivos do sistema ocultos |
-a | desativar a execução automática em todas as unidades |
-help | mostrar informações adicionais sobre o utilitário |
-m | modo de monitoramento de threads, tarefas e serviços |
Por exemplo, para verificar uma unidade flash, gerar e gravar um relatório detalhado em um arquivo relatorio.txt (que será criado na pasta de instalação do utilitário KK.exe), use o seguintes comando:
Pen diver
c:\\KK.exe -r -y -l relatorio.txt -v
Verificação no Pc
c:\\KK.exe -f -n -r -y -l report.txt -v
5 comentários:
muito eficiente tb é criar uma pasta vazia chamada autorun.inf. isso ajuda muitoi tb, em pendrivers e hd's .
Eu sabia que você tem competencia pra realizar um excelente trabalho como o está fazendo agora.
é fabio tambem falei sóbre isso no meu blog antes desse post o link é esse ai http://joaotecnico.blogspot.com/2009/07/cortando-o-mal-pela-raiz-do-pendrive.html
Cara seu blog é show de bola! Já add! Abraços.
opa valeu Rosário Notícias sempre que puder é só entrar e conferir as novidades dp blog
Postar um comentário